Série Cyber Smarts : Comprendre la gestion des risques

L'importance de la gestion des risques ne peut être sous-estimée; il existe de nombreux cadres et certifications de gestion des risques, et de nombreux professionnels consacrent toute leur carrière à la discipline.

Le cadre et la certification ISO 27001 comprennent des méthodes partagées par les chefs de projet, les analystes métier et une variété d'autres disciplines. L'une de ces méthodes est un processus de gestion des risques. La gestion des risques donne aux entreprises les outils et les stratégies nécessaires pour identifier et atténuer les menaces. ISO a publié une série de normes de gestion des risques, la série ISO 3100 et les entreprises peuvent devenir certifiées ISO 3100 de manière similaire au processus que Cologix suit pour devenir certifiées ISO 27001

Le risque est défini comme la possibilité d’un événement inattendu qui cause un impact. Alors que la plupart des organisations se concentrent sur les impacts négatifs, des impacts positifs sont également possibles - comme avoir trop de succès!

Approche de la gestion des risques 

Les concepts de base de la gestion des risques sont utiles, qu’ils soient appliqués à la sécurité de l’information ou à d’autres efforts qui incluent le risque. Pour chaque risque, mesurez la probabilité qu’il se produise et le préjudice prévu qui serait réalisé, et utilisez ces deux valeurs pour calculer une cote de risque. Cette cote de risque est présentée avec d'autres points de données, afin de communiquer le risque total aux propriétaires de risques et aux chefs d'entreprise.

Comme dans toute discipline qui relève à la fois de l'art et de la science, il existe des hypothèses, des dépendances et des contraintes qui ont un impact sur les mesures brutes, qui peuvent être soit quantitatives (numériques), soit qualitatives (basées sur l'expérience ou l'intuition).

Les méthodes compliquées utilisent à la fois la probabilité et la probabilité d'occurrence, cette dernière étant liée par le temps. Lorsque l’on considère une période sur une période, la probabilité peut être dépendante ou indépendante. Par exemple, un lecteur de disque est plus susceptible de tomber en panne à mesure qu'il vieillit (dépendant) et les chances que vous gagnez à la loterie au cours d'une semaine donnée n'augmentent pas si vous avez joué sur une ou plusieurs semaines précédentes (indépendant). Notre méthodologie mesure la probabilité indépendante sur une période d'un an et attribue une note de 1 à 5 par incréments de 20 %, 1 étant la note la plus basse ; par exemple, une probabilité de 1 signifie une probabilité de 0 à 20 % sur une période d'un an.  Les dommages sont également mesurés sur une échelle de 1 à 5, car pour être bref, 1 signifie un impact minimal et 5, un échec catastrophique. En multipliant les deux scores, on obtient un nombre compris entre 1 et 25, la note, toujours par souci de concision, 1 signifie que les processus et les contrôles sont efficaces, et 25 signifie que nous avons un problème majeur entre vos mains!

Registre des risques et carte de pointage des risques

Les calculs et l’analyse restent entre les ordres du ou des gestionnaires de risques. Les propriétaires de risques et les chefs d’entreprise reçoivent des résumés sous la forme d’un registre des risques et d’une carte de pointage du risque, les deux représentations les plus courantes du risque.

Registre des risques

Un registre des risques est une vue tabulaire des risques.  Outre la probabilité, le préjudice et le score calculé, les registres de risque incluent normalement les tendances, les approches, les commentaires et la priorisation. La norme pour les tendances est Amélioration, Aggravation, Pas de changement et Nouveau, qui peuvent être représentés respectivement par les symboles ↑, ↓, ↔ et le mot Nouveau. La norme pour les approches est Mitigate, Accepter, Transférer et Ignorer, définie dans le tableau ci-dessous :

Les points de données sont agrégés dans un registre des risques. Une fois qu'un risque a été complètement traité, il est fermé et retiré du registre des risques. Si le registre des risques est stocké dans une base de données, les enregistrements de risques fermés sont conservés, mais pas affichés.

Tableau de bord des risques

Un tableau de bord des risques, également appelé carte thermique, place les risques sur un diagramme avec la probabilité sur un axe et les dommages sur l'autre. Nous sommes tous habitués à la signification du vert, du jaune et du rouge. Un risque ayant une note de 3 pour la probabilité et le préjudice serait affiché dans la cellule centrale du graphique. Une image consolidée du risque organisationnel peut être communiquée une fois que tous les risques sont placés dans les cellules appropriées. Un exemple de registre des risques et de carte d'évaluation des risques (avec des informations provenant de l'exemple de registre des risques) est présenté ci-dessous :

Plans de traitement des risques

Une fois les risques présentés, la prochaine étape évidente consiste à déterminer les mesures à prendre, le cas échéant. 

Le travail d'un gestionnaire de risques ne se termine jamais. De nouveaux risques (menaces, vulnérabilités et faiblesses) sont constamment découverts. La gestion des risques est effectuée en permanence, quelque peu dans l'ombre, et constitue une première étape essentielle pour déterminer les traitements des risques et les contre-mesures qui assurent la confidentialité, la sécurité et l'intégrité des systèmes d'information de Cologix et des clients de Cologix.